Permissões de consentimento da aplicação para funções personalizadas no Microsoft Entra ID
Este artigo contém as permissões de consentimento de aplicativo atualmente disponíveis para definições de função personalizadas no Microsoft Entra ID. Neste artigo, encontrará as permissões necessárias para alguns cenários comuns relacionados com o consentimento e as permissões de aplicações.
Requisitos da licença
O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.
Permissões de consentimento da aplicação
Use as permissões listadas neste artigo para gerenciar políticas de consentimento de aplicativos, bem como a permissão para conceder consentimento a aplicativos.
Nota
O centro de administração do Microsoft Entra ainda não suporta a adição das permissões listadas neste artigo a uma definição de função de diretório personalizada. Você deve usar o Microsoft Graph PowerShell para criar uma função de diretório personalizada com as permissões listadas neste artigo.
Conceder permissões delegadas a aplicações em nome próprio (consentimento do utilizador)
Para permitir que os usuários concedam consentimento a aplicativos em nome deles mesmos (consentimento do usuário), sujeito a uma política de consentimento do aplicativo.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf. {id}
Onde {id} é substituído pela ID de uma política de consentimento de aplicativo que definirá as condições que devem ser atendidas para que essa permissão esteja ativa.
Por exemplo, para permitir que os usuários concedam consentimento em seu próprio nome, sujeito à política de consentimento de aplicativo interna com ID microsoft-user-default-low, você usaria a permissão ...managePermissionGrantsForSelf.microsoft-user-default-low.
Conceder permissões a aplicações em nome de todos (consentimento do administrador)
Para delegar o consentimento de administrador de todo o locatário a aplicativos, tanto para permissões delegadas quanto para permissões de aplicativos (funções de aplicativo):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll. {id}
Onde {id} é substituído pelo ID de uma política de consentimento de aplicativo que definirá as condições que devem ser atendidas para que essa permissão seja utilizável.
Por exemplo, para permitir que os cessionários de função concedam consentimento de administrador em todo o locatário a aplicativos sujeitos a uma política de consentimento de aplicativo personalizada com ID low-risk-any-app, você usaria a permissão microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Gerenciando políticas de consentimento de aplicativos
Para delegar a criação, atualização e exclusão de políticas de consentimento do aplicativo.
- microsoft.directory/permissionGrantPolicies/criar
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/excluir
Lista completa de permissões
| Permissão | Description |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf. {id} | Concede a capacidade de consentir com aplicativos em nome próprio (consentimento do usuário), sujeito à política {id}de consentimento do aplicativo. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll. {id} | Concede a permissão para consentir aplicativos em nome de todos (consentimento de administrador em todo o locatário), sujeito à política {id}de consentimento do aplicativo. |
| microsoft.directory/permissionGrantPolicies/standard/read | Leia as propriedades padrão das políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/basic/update | Atualizar propriedades básicas de políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/criar | Criar políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/excluir | Excluir políticas de concessão de permissão |